• Like

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Active Directoryとのお手軽データ連携ソリューション

  • 3,161 views
Published

企業内に散在するActive Directoryやディレクトリ、データベースの管理にお困りではありませんか? 安く簡単にデータ連携を実現するオラクルのソリューションをご紹介致します! …

企業内に散在するActive Directoryやディレクトリ、データベースの管理にお困りではありませんか? 安く簡単にデータ連携を実現するオラクルのソリューションをご紹介致します!

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,161
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
25
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. <Insert Picture Here>Active Directoryとのお手軽データ連携ソリューション日本オラクル株式会社
  • 2. Agenda• オープンで汎用的なディレクトリの必要性• オラクルのディレクトリ連携ソリューション 1. Oracle Identity Synchronization for Windows (ISW)による Active Directory 連携 2. Oracle Internet Directory / Directory Integration Platform に よる Active Directory 連携 3. Oracle Identity Manager による Active Directory 連携 4. Oracle Virtual Directory による Active Directory 連携• まとめ Copyright© 2011, Oracle. All rights reserved. 2
  • 3. オープンで汎用的なディレクトリの必要性 Copyright© 2011, Oracle. All rights reserved. 3
  • 4. ディレクトリの起源 • Network OS 用ディレクトリ • Windows や NetWare のようなネットワーク 接続型の OS を集中管理するためのディレク トリ • 例: Microsoft Active Directory, Novell 適材適所 eDirectory 併用・使い分けが必要 • 汎用ディレクトリ • (OSの種別関係なく)様々な業務アプリケー ションから共通基盤として利用するディレクト リ • 例: Oracle Directory Server, Oracle Internet Directory, OpenLDAP Copyright© 2011, Oracle. All rights reserved.4
  • 5. なぜ汎用ディレクトリが求められるのか(1) • 目的の違い • Active Directory • Network OS(Windows) アカウントを管理するためのディレクトリ • 管理されるアカウント ≠ アプリケーションが求めるアカウント • ユーザの属性・スキーマはWindows利用を想定 • Windows管理用のグループ、サービスアカウント多数 • Windows と業務システムでは、 運用担当者やパッチ/バージョンアップ 適用、のタイミングが異なる Copyright© 2011, Oracle. All rights reserved.5
  • 6. なぜ汎用ディレクトリが求められるのか(2) • 技術面 • Active Directory • 独自の階層構造 • セキュリティポリシー(監査のポイント, ACI, パスワードポリシー, アカウント ポリシー等)がOS認証とアプリの認証では異なる • スキーマの特異性 • 属性値の文字数制限 • 独自属性 • 組織オブジェクトは特定の場所でしか作れない • 処理性能 • 負荷の増加 • レプリケーション • 管理性 • Webインタフェースによる管理 Copyright© 2011, Oracle. All rights reserved.6
  • 7. 汎用ディレクトリとADの併用• 連携、もしくは同期が必要 • 同期: ① Identity Synchronization for Windows, ② Internet Directory/Directory Integration Platform, ③ Identity Manager • 連携: ④ Virtual Directory 全社ポータル グループウェアWindows PC ERP 認証 Microsoft 汎用ディレクトリ Active Directory Windows 環境 基幹業務アプリケーション Copyright© 2010, Oracle. All rights reserved. 7
  • 8. 1. Oracle Identity Synchronization forWindows (ISW)による ActiveDirectory 連携 Copyright© 2011, Oracle. All rights reserved. 8
  • 9. Directory Server / Identity Synchronization for Windows による Active Directory 連携 • アプリケーションの認証:Directory Server • AD との同期: Identity Synchronization for Windows 全社ポータル グループウェアWindows PC ERP 同期 同期 Identity Synchronization for Windows 認証 Microsoft Directory Server Active Directory Windows 環境 基幹業務アプリケーション Copyright© 2011, Oracle. All rights reserved. 9
  • 10. Identity Synchronization for Windows のご紹介 主要機能 Microsoft Active Direcotry や Windows NT と Oracle Directory Server Enterprise Edition のアイデンティティ同期を実現 – ユーザ作成/削除の双方向同期 – ユーザ属性の双方向同期  ルールにより双方のアカウントをマッピング – ユーザの有効化/無効化の同期にも対応 – ユーザパスワードの双方向同期 Identity Synchronization  Active Directory側に Plug-in のインストールは不要 for Windows – グループ (Domain Global Disribution Group, Domain Global Security Group)の同期にも対応 同期対象を柔軟に選択可能 – 例: 特定の組織配下に属するユーザのみを同期 – 例: メールアドレスが同じアカウントを同期 Oracle Microsoft 属性の動的生成 Directory Server EE Active Directory ログ・設定情報の集中管理 Copyright© 2010, Oracle. All rights reserved. 10
  • 11. Identity Synchronization for Windows のご紹介 アーキテクチャ  すべてのトラフィックを SSL/3DES で暗号化  メッセージバスに Message Queue を使用することで高い信頼性を確保 ・ 設定内容のアップデートをコネクタへ動的に配信 ・ 同期の設定/開始/停止 ・ 設定情報のインポート/ ・ ディレクトリ間の初期化(同期)を実行 ・ システム状態の監視 エクスポート ・ 同期の開始/停止・ 監査ログにより同期の アクティビティをチェック・ エラーログによりコン ポーネントの状態を ・ セキュリティログを監視すること 集中監視 でユーザ情報の変更を検知 ・ 変更情報をNTコネクタに 伝播 ・ パスワード変更をキャプ チャしてNTコネクタに伝播 Copyright© 2010, Oracle. All rights reserved. 11
  • 12. Identity Synchronization for Windows のご紹介 柔軟な同期 Synchronization User List による同期対象の設定 – 特定のツリーのみの同期が可能 – 特定のユーザのみの同期が可能  LDAPフィルタによる定義 - 「 に等しい」、「に等しくない」、「または(or)」、「かつ(and)」による条件 定義 - * (アスタリスク)を用いた表現 アカウント作成時のデフォルト値を動的に作成することも可能 – 情報の読み取り元には存在しない属性値を生成  例: cn= %givenname% %sn%  例: homedir = /export/home/%uid% アカウントの結びつけルール(UserLinkingOperationListの定義) – 例: 「Direcotry Server の uid と Active Directory の samaccountname が 同じ 」または「両ディレクトリ内の givenname と sn の値が等しい」ユーザ – Synchronization User List (同期対象の定義)ごとに設定が可能 Copyright© 2010, Oracle. All rights reserved. 12
  • 13. Identity Synchronization for Windows のご紹介 Plug-in/変更履歴を使用したパスワード同期 Directory Server から AD に対するパスワード同期Oracle Directory Server Copyright© 2010, Oracle. All rights reserved. 13
  • 14. Identity Synchronization for Windows のご紹介 On Demand Password Synchronization  AD から Directory Server に対するパスワード同期Oracle Directory Server Copyright© 2010, Oracle. All rights reserved. 14
  • 15. Active Directory と Directory Server を活用した導入事例 神奈川大学 2万5000人を超えるユーザを抱える大学の認証基盤統合プロジェクト Directory Serverを利用した 共通認証基盤の構築 FreeBSD, MacOSを含むOS 認証をDirectory Serverで 提供 Windowsの認証を行う Active Directoryと Directory Server をIdentity Synchronization for Windowsにより同期 シングル・サインオン製品との 連携により学内ウェブアプリケ ーションとのSSOにも利用 ※ Sun Java System Directory Server はOracle Directory Server と名称が変更されています ※ Sun Java System Access Manager は Oracle OpenSSO と名称が変更されています Copyright© 2011, Oracle. All rights reserved. 15
  • 16. 2. Oracle Internet Directory / DirectoryIntegration Platform による ActiveDirectory 連携 Copyright© 2011, Oracle. All rights reserved. 16
  • 17. Internet Directory/Directory Integration Platform による連携• アプリケーションの認証:Internet Directory• AD との同期: Directory Integration Platform サービス 全社ポータル グループウェアWindows PC ERP パスワード更新 同期 認証 Microsoft Internet Directory Active Directory Directory Integration Platform Windows 環境 基幹業務アプリケーション Copyright© 2011, Oracle. All rights reserved. 17
  • 18. Directory Integration Platform (DIP) とは DIP(Oracle Directory Integration Platform/Directory Integration and Provisioning Service) – Directory – Directory 連携 – Directory – Relational Database 連携 Directory LDAP Protocol 変更ログ Integration and Provisioning Service エントリ及び属性値の伝播 同期プロファイル 変更ログ 同期プロファイル 同期プロファイル サードパーティ製ディレクトリ Oracle Internet Directory(OID) OID 11g との連携可能ディレクトリ  Active Directory 2003, 2008  ADAM - Version 1 with SP1 on Win2k3  Sun Java System Directory Server 6.3 ディレクトリに対する変更操作の履歴が記録される  Novell eDirectory 8.8  OpenLDAP 2.2  IBM Tivoli DS 6.2 Copyright© 2010, Oracle Corporation. All rights reserved. 18
  • 19. DIP の主要コンポーネントと処理 Directory Integration and Provisioning Service 「EXPORT」 odisrv プロセス 「IMPORT」 コネクタ機能 (同期プロファイル) cn=changelog 実装を利用して 差分データのみを定期的に反映 することが可能。・ 同期プロファイル(同期方式の設定)・ 属性マッピングルール・ 外部認証プラグイン Copyright© 2010, Oracle Corporation. All rights reserved. 19
  • 20. DIP によるデータ同期およびパスワード連携 データ同期の形式 – EXPORTタイプ: OID  Third Party Directory – IMPORTタイプ: OID  Third Party Directory パスワード属性の扱い – パスワードをOIDで保持しない場合 (OIDが他のディレクトリのスレイブとして動作する場合 etc.) – パスワードをOIDで保持する場合 (パスワードを同期対象にする) Copyright© 2010, Oracle Corporation. All rights reserved. 20
  • 21. データ連携(OID  Third Party Directory)管理者によるディレクトリへの変更操作を反映する流れ ② 変更部分を読み取り (スケジューリング実行) ④ 変更を反映 自動 自動 ③ マッピングルールに 基づいて変更を伝播 OID付属の 同期サービス 自動 Oracle Internet Directory(OID) サードパーティ製ディレクトリ ① エントリ、属性の 追加/変更/削除 管理者 Copyright© 2010, Oracle Corporation. All rights reserved. 21
  • 22. データ連携(OID  Third Party Directory) 管理者によるディレクトリへの変更操作を反映する流れ 自動 ③ マッピングルールに 基づいて変更を伝播④ 変更を ② 変更部分を読み取り 反映 (スケジューリング実行) OID付属の 自動 同期サービス 自動 Oracle Internet Directory(OID) サードパーティ製ディレクトリ ① エントリ、属性の 追加/変更/削除 管理者 Copyright© 2010, Oracle Corporation. All rights reserved. 22
  • 23. パスワード連携パスワードの扱いについて選択肢1) 双方の Directory でパスワード情報を持つ パスワード パスワード ユーザのエントリ数は同じ ユーザのエントリ数は同じ選択肢2) 片方の Directory のみでパスワード情報を持つ マスタ スレイブ (更新あり) (更新なし) パスワード <NONE> ユーザのエントリ数は同じ ユーザのエントリ数は同じ 認証時には外部に問い合わせを行なう Copyright© 2010, Oracle Corporation. All rights reserved. 23
  • 24. パスワード連携(OID 以外でパスワード保持)サードパーティ製ディレクトリがマスタとなるケースの利用イメージ <NONE> ③ 認証処理 OID付属の ディレクトリ同期稼働中 パスワード 外部認証プラグイン 自動 自動 ②④ マスタへの認証要求/応答 Oracle Internet Directory(OID) サードパーティ製ディレクトリ (MASTER) ① 認証操作(ldapbind、 ldapcompare等) ⑤ 応答 LDAPクライアント・ アプリケーション Copyright© 2010, Oracle Corporation. All rights reserved. 24
  • 25. 外部ディレクトリによるパスワード認証外部認証プラグイン dc=com dc=com dc=oracle dc=mydomain dc=jp cn=users cn=users cn=suzuki cn=tanaka cn=suzuki cn=tanaka cn=orcladmin パスワード パスワード 認証プラグインの適用範囲 ②外部サイトのパスワード を使った bind or compare ①bind、compare ③応答 LDAPクライアント Copyright© 2010, Oracle Corporation. All rights reserved. 25
  • 26. パスワード連携(両方でパスワード保持) 両ディレクトリがマスタもしくは、OIDがマスタとなるケースの利用イメージ② 認証処理 ② 認証処理 パスワード ディレクトリ同期稼働中 パスワード自動 自動 Oracle Internet Directory(OID) サードパーティ製ディレクトリ AD では各ドメインコント ローラにOracleパスワー ドフィルタをインストール ① 認証操作(ldapbind、ldapcompare等) してパスワードを伝播 ③ 応答 ③ 応答 LDAPクライアント・ アプリケーション Copyright© 2010, Oracle Corporation. All rights reserved. 26
  • 27. SSL による安全な通信 DIPの通信のSSL化 パスワード情報(通常はハッシュ化されている)を伝播するため、 通信経路をセキュアにするために SSL(Secure Sockets Layer)が使用できる。 LDAPS LDAPS DIP パスワード (odisrv) Oracle Internet Directory Third-Party Directory Oracle Wallet Oracle Wallet 証明書ストアOracle Directory Manager $ORACLE_HOME/ldap/odi/を使用して設定する。 conf/odi.properties ファイルを 編集する。 Copyright© 2010, Oracle Corporation. All rights reserved. 27
  • 28. ブートストラップによる初期化 ブートストラップ DIPを介した 初回の全同期(同期対象の双方を同じ状態にするための処理)を 「ブートストラップ(bootstrap)」 と表現している。 % $ORACLE_HOME/bin/dipassistant bootstrap –host oidhost.jp.oracle.com –port 389 -dn “cn=orcladmin” -passwd “cn=orcladminのパスワード” –profile ActiveChgImp dc=com ブートストラップ実行 dc=com dc=oracle 既存のエントリ情報は dc=mydomain 上書きしない dc=jp cn=users cn=userscn=suzuki cn=tanaka cn=tanaka cn=suzuki cn=orcladmin 作成される 作成される ユーザ情報(マスタ) ユーザ情報(スレイブ) Copyright© 2010, Oracle Corporation. All rights reserved. 28
  • 29. マッピング方法 属性マッピング・ルール ・ DomainRules (マッピング対象のドメイン指定) (書式) srcDomainName : [dstDomainName] : [DomainMappingRule] (指定例) cn=users,dc=mydomain,dc=com:cn=Users,dc=jp,dc=oracle,dc=com: ・ AttributeRules (マッピング対象の属性指定) (書式) srcAttrName:[ReqAttrSeq]:[srcAttrType]:[srcObjectClass]: [dstAttrName]:[dstAttrType]:[dstObjectClass]:[AttrMappingRule] (指定例) userPrincipalName: : :user:uid: :inetorgperson:userPrincipalNameAttrMappingRule で利用可能な関数 ・ 連結 ( + ) ・ 文字列操作 ・ OR 演算子 ( | ) char 以前の抽出 ( trunc(str,char) ) ・ Base64エンコード ( bin2b64 ) char 以後の抽出 ( truncl(str,char) ) ・ 小文字にする ( tolower() ) ・ DN依存部分の変換 ( dnconvert() ) ・ 大文字にする ( toupper() ) ・ 文字列指定 ( ‘ ’ ) Copyright© 2010, Oracle Corporation. All rights reserved. 29
  • 30. マッピングルールの例例) マッピング・ルール設定ファイル 「 import.map.master 」 DomainRules cn=users,dc=mydomain,dc=com: cn=users,dc=jp,dc=oracle,dc=com: AttributeRules # Mapping rules to map the domains and containers o: : :organization: o: :organization ou: : :organizationalUnit: ou: : organizationalUnit dc: : :domain:dc: :domain # Mapping Rules to map users uid : : :person: uid: :inetOrgperson sn: : :person:sn: :person cn: : :person:cn: :person cn: : :person:uid: :person mail: : :inetorgperson: mail: :inetorgperson employeenumber: : :organizationalPerson: employeenumber: :organizationalperson c: : :country:c: :country l: : :locality: l: :locality telephonenumber: : :organizationalPerson: telephonenumber: :organizationalperson同期プロファイルにマッピング・ルールをロードする方法 % $ORACLE_HOME/bin/dipassistant mp –host oidhost.jp.oracle.com –port 389 -passwd “cn=orcladminのパスワード” –profile ActiveChgImp odip.profile.mapfile=“/export/home/oid1012/diparea/import.map.master” Copyright© 2010, Oracle Corporation. All rights reserved. 30
  • 31. プラグインによるロジックの追加 次のような特定のLDAP操作に対しPL/SQLロジックを実行する仕組み – ldapbind – ldapcompare – ldapadd – ldapdelete – ldapmodify – ldapsearch 適用タイミングは post(操作後)、pre(操作前)、when(操作時) when については次の2つの適用型を設定 – アドオン型Plug-In: 特定のLDAP操作後にPL/SQLロジックを実行 – 置換型Plug-In:特定のLDAP操作をPL/SQLロジックに置き換えて実行 Copyright© 2010, Oracle Corporation. All rights reserved. 31
  • 32. プラグインの処理フロー OID: Directory プラグイン・フレームワークについて Third-Party Oracle Internet Directory Directory 認証プラグインの適用範囲 PL/SQLパッケージ内の処理⑤ LDAP処理の実行 ⑥ 戻り値チェック ④ DBMS_LDAPパッケージ呼び出し ③ PL/SQLパッケージ呼び出し ⑦ 戻り値チェック ② プラグイン始動 ① LDAP処理要求 ⑧ LDAP処理結果 LDAPクライアント Copyright© 2010, Oracle Corporation. All rights reserved. 32
  • 33. 高可用性構成  マルチマスタ環境では、1次ノードから2次ノード に手動での同期プロファイルのコピーが必要 1. 同期プロファイルを無効化します。 2. ldapsearchコマンドを使用して、ターゲット・ノー ドのlastchangenumber属性の値を取得します。 3. ldapsearchを使用して、プロファイル・エントリ のLDIFダンプを取得します。 4. ldapaddを使用して、他のOracle Internet Directoryインスタンスにプロファイルを追加しま す。 5. manageSyncProfilesコマンドの updatechgnum演算子を使用して、ターゲット・ ノードにコピーしたエクスポート・プロファイルの lastchangenumber属性を手順2で取得した値 で更新します。 6. 同期プロファイルを有効化します。http://download.oracle.com/docs/cd/E16340_01/core.1111/b55898/imha.htm#CDECCJJH Copyright© 2010, Oracle Corporation. All rights reserved. 33
  • 34. 3. Oracle Identity Manager によるActive Directory 連携 Copyright© 2011, Oracle. All rights reserved. 34
  • 35. Identity Manager による Active Directory 連携 • アプリケーションの認証:Directory Server, Internet Directory, etc • AD との同期: Identity Manager 全社ポータル グループウェア パスワード パスワード変更 変更Windows PC ERP 同期 Identity Manager 同期 認証 Microsoft Directory Server Active Directory Internet Directory Windows 環境 基幹業務アプリケーション Copyright© 2011, Oracle. All rights reserved. 35
  • 36. Oracle Identity Manager動作イメージ Target System 人事 コンテンツ管理 顧客情報管理 システム システム システム Trusted Source 売上管理 システム リコンシリエーション (ユーザー情報の取得) プロビジョニング (配信) 品質管理 システム ID管理データベース ・ID情報の管理 ユーザ情報管理者 ・メンテナンス 配信ルール OSアカウント管理 各種履歴ログ など 属性・ルールに基づいたロール割当て ・パスワード変更 入退出管理ユーザ ・申請 Oracle Identity Manager システム Copyright© 20010 Oracle. All rights reserved. 36
  • 37. Oracle Identity Manager運用イメージOracle Identity Manager はIDライフサイクルを全て管理します。 ポリシー・ロールによる パスワード変更 ユーザ登録 プロビジョニング(自動) ユーザーの部署や役職に 基づいたルールによるID管理 を実現!! リコンシリエ ーション パスワード問い合わせの自動化 管理者負荷軽減!!人事システム 申請・承認ワークフローによる プロビジョニング ユーザ情報の変更 不正アカウントの処理(自動) ユーザ削除 連携対象システム ログ・監査 デプロビジョニング (自動) 承認アカウントのチェック 利用者自身がセルフサービスにて アクセス権限申請が可能 監査で必要とされるレポート ID管理者負荷軽減!! は標準で準備!! 定期的なアカウント配信状況の ログ履歴保存 チェック機能!! 37
  • 38. Oracle Identity Manager 構成概要 対象システムクライアント ユーザー・コンソール Design Console Oracle JDeveloper RMI Java HTTP HTTP ユーザー管理 プロビジョニング リコンシリエーション ワークフロー レポート 設定情報 履歴情報 Oracle Identity Oracle BI Manager Oracle SOA Suite Publisher Oracle Database SE or EE JDBC Oracle Weblogic Server アプリケーションサーバ層 リポジトリデータベース層 Copyright© 20010 Oracle. All rights reserved. 38
  • 39. 管理画面によるアカウント管理・配信 アカウントの作成管理権限の移譲 Copyright© 2009, Oracle. All rights reserved. 39
  • 40. 属性値の生成・加工と柔軟なプロビジョニング フローの実現 「UserAのアカウントを ターゲット:Active Directory OIMユーザー情報 にプロビジョニング」ユーザID UserA姓 山田 太郎名 Tyamada@abc.com IT ResourceEmail アドレス Mobile System *******パスワード Copy用アダプタ リソースオブジェクト Active Directory ターゲット:Active Directory 配信ユーザ情報 プロビジョニングプロセス (Active Directory用) Mobile System情報 IT Resource ユーザID UserA プロセスフォーム 山田 姓 太郎 名 Tyamada@abc.com Email アドレス ******* パスワード ユーザ作成タスク:Create User 姓 Active Directory ユーザ作成用アダプタ ユーザ無効化タスク:Disable User ユーザ無効化用アダプタ Copyright© 2009, Oracle. All rights reserved. 40
  • 41. パスワード管理とチャレンジQA  Active Directory からのパスワード吸い上げと伝搬の双方向が可能  ユーザー自身にてセルフサービス機能によりパスワード変更が可能  チャレンジQAを設定することパスワード忘れ時に自身でのリセットが可能パスワード変更画面にて設定されているパスワードポリシーを表示 チャンレジQAの内容や設定数、正解数は 設定にて変更可能 Copyright© 20010 Oracle. All rights reserved. 41
  • 42. 申請ワークフロー機能 申請ワークフロー の設定アカウント作成の申請 Copyright© 2009, Oracle. All rights reserved. 42
  • 43. 不正アカウント検知 プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエー ション)により、対象システムに直接作成されかつOIMでは管理外のアカウントを 検知 悪意による不正アカウントや動作確認用の一時アカウントを検出 Oracle Identity Manager リソースA 1. アカウントの配信 配信済みアカウント一覧 UserA UserA UserB 対象システムA UserB test01 ユーザー情報 UserC 取り込み UserC 2. システムに UserD 直接アカウント追加 3. ターゲットリコンシリエーション UserD (OIM保持配信ユーザー情報と対象システム側のユーザー情報を比較) 不正作成ID(test001)の検出 Copyright© 20010 Oracle. All rights reserved. 43
  • 44. 日本HP ID管理スターターパック30  日本HPのノウハウと日本オラクルのOracle Identity Managerを組み合わせたライセンス・構築・ハードウェアを 組み合わせたソリューション • CSV から取り込み • AD や LDAP への伝搬 • 最短30日間~ • 100ユーザ • ¥ 850 万円~http://h50146.www5.hp.com/solutions/infrastructure/security/landing/idstarter.html?jumpid=in_r10170_jp/ja/large/tsg/press_oim_landing/jp_iwpr10 Copyright© 2009, Oracle. All rights reserved. 44
  • 45. 4. Oracle Virtual Directory によるActive Directory 連携 Copyright© 2011, Oracle. All rights reserved. 45
  • 46. Oracle Virtual Directory とは Virtual Directory とは何か? – LDAPv3準拠のインタフェースを提供するデータおよびプロトコル変換ゲートウェイ (接続ユーザからは、通常のLDAPサービスのようにみえます) – 実データを保持しない(プロキシとして機能する) – 外部からはLDAPサーバのように扱えるが、実際のデータは複数の既存リポジトリ・ データベース(LDAP、Database等)をリアルタイムにアクセスする Virtual Directory とはどのような要件に対応できるものなのか? – 複数のLDAPサーバに対するアクセスの入口を一箇所に集約する必要がある – ID情報をLDAPサーバ以外で管理しており、LDAPアクセス可能にする必要がある – 1つのIDを構成する情報が、複数のリポジトリに分散して管理されている。それを1つ に集約して利用する必要がある – LDAPアクセスに対して、ファイアウォール(LDAP フィルタ、属性フィルタ、問い合わ せフィルタなど)や代理アクセスを必要とする – 複数のLDAPサーバに対して負荷分散を必要とする Copyright© 2010, Oracle Corporation. All rights reserved. 46
  • 47. Oracle Virtual Directory の全体像 ~ 分散したIDリポジトリを仮想的に統合し、迅速に統合ディレクトリを提供 Oracle Virtual Directoryとは? Oracle Virtual Directoryの主な導入メリット• 異なるIDリポジトリ(LDAP、独自DB管理 等)を仮想的に • セキュリティチェックによるセキュアなアクセスを実現 統合して、1つのディレクトリビューを実現 • 既存のID管理フローの変更無く、統合ディレクトリを構築可能 • 仮想的な統合ディレクトリにより、段階的なディレクトリ統合の Oracle Virtual Directoryの機能 ステップとして活用可能• LDAPリスナー:LDAPサービスを提供 • データは物理的に1箇所だけに存在するため、リアルタイムの ID情報にアクセス可能• 接続アダプタ:接続のための各種アダプタ • 独自DBで管理しているID情報をLDAP化可能• 属性結合:異なる環境のユーザ属性を結合 • Oracle Access Managerのリポジトリとして利用可能 Oracle Virtual システムA Directory 権限・職責管理 データベース LDAP システムB 正社員管理 LDAPLDAPクライアント システムC(ユーザ or アプリケーション) VIEW 契約社員 管理LDAP LDAPクライアントからはLDAPアクセス Virtual Directoryを通して各リポジトリのID情報を参照 Copyright© 2010, Oracle Corporation. All rights reserved. 47
  • 48. OVD 全体像 Virtual Directory Server リスナー セキュリティ・チェック グローバル・プラグインLDAPクライアント LDAPアダプタ LDAPサーバ Databaseアダプタ ルーティング LDAPアダプタ Join アダプタ Databaseアダプタ DBサーバ バックエンドのデータソース Copyright© 2010, Oracle Corporation. All rights reserved. 48
  • 49. OVD の処理内容 クォータ確認 ・過負荷や連続処理を制限 参照リミットの確認 Virtual Directory Server ACL(アクセス制御リスト)の確認 リスナー セキュリティ・チェック 共通のデータ処理変換ロジック トランザクションのダンプ(デバッグ用) グローバル・プラグインLDAPクライアント LDAPアダプタ LDAPサーバ 通信・処理プロトコル Databaseアダプタ ・LDAP / HTTP / DSML ルーティング リスナーの形式 LDAPアダプタ ・LDAPリスナー Join アダプタ ・Webゲートウェイ Databaseアダプタ ・Webサービス OVDとデータソース間の通信のハンドリング DBサーバ その他 要求を処理するアダプタの指定 対応可能なデータソース ・SSL対応 ・ 優先度指定あり ・ LDAP ・ Database(RDBMS) バックエンドのデータソース フィルタリング処理や対象属性の指定 ・ ローカルのデータストア (ローカルファイル) ・ アダプタ単位 ・ カスタム (Java API、Webサービス) Copyright© 2010, Oracle Corporation. All rights reserved. 49
  • 50. OVD の管理ツール 主に次の2つのWebコンソールを使って管理を行います。 複数OVDサーバ間で設定を同期するための syncovdconfig コマンドも新しく提供されています。 ・リスナー設定 ・サーバプロパティ ・キーストア設定 ・監査ログ設定 ・監視 Oracle Fusion Middleware Control(FMW Control) ・アダプタ設定 Oracle Directory Services Manager(ODSM) ・プラグイン設定 ・アクセス制御設定 ・スキーマ管理 ・データ参照 Copyright© 2010, Oracle Corporation. All rights reserved. 50
  • 51. OVD の主な特徴 – その1特徴1 : セキュリティ向上 LDAPプロキシ、ファイアーウォール •接続先にSSL非対応のデータソースがあった場合、LDAP over SSLプロキシとしてLDAPプロキシ、ファイアーウォール 利用することによって、クライアントからのアクセスをSSL化することが可能 •参照可能な属性情報をフィルタリング SSLプロキシとして利用 アクセス制御を集中管理 SSL通信 •さまざまなデータソースに対するアクセス制御を1ヶ所で集中的に管理可能 •接続先データソースのアクセス制御に追加する形でアクセス制御を設定 非SSL通信 •アクセス制御の設定はGUI管理ツールから容易に設定可能LDAPクライアント アクセスログの集約 属性のフィルタリング •接続先データソースへのアクセスポイントが1ヶ所に集約されているため、アクセス ログを集約することが可能アクセス制御を集中管理 •アクセスログをCSVファイルに出力することも可能 ACL設定ウィ ザードを起動 対象DN を指定 特定のDN、グループ、 設定済みアクセス制御リスト IPアドレスなどでアク 対象属性 対象となる を指定 操作を指定 セス制御することが可 能 Oracle Virtual Directory 管理ツール ACL設定ウィザード Copyright© 2010, Oracle Corporation. All rights reserved. 51
  • 52. OVD の主な特徴 – その2特徴2 : 多様な接続性 さまざまなデータソースに接続可能 •対応しているディレクトリサーバーリクエストの振り分けとフェイルバック •Oracle Internet Directory •Microsoft Active Directory/Application Mode リクエストされた内容を、条件に •Sun Java System Directory Server 基づいて適切な接続先に振り分け •IBM Tivoli Directory Server •Novell eDirectory •CA eTrust Directory •Siemens DirXLDAPクライアント •LDAPで接続可能なデータソースであれば基本的に接続可能 ※ Java API によるカスタムコネクタ開発によって その他のデータソース にも接続可能RDBMSの情報をLDAPツリーへマッピング 負荷分散とフェイルオーバー 表:Employee_Tab •条件に基づいてリクエストを異なる接続先へ振り分け DITへマッピング empno ename L_name F_name •条件: 検索ベース、検索フィルタ、バインドDNLDAPディレクトリ 100 suzuki Suzuki Taro 200 tanaka Tanaka Ichiro •設定された割合に基づいてリクエストをラウンドロビン振り分け •振り分け先サーバーがダウンしている場合、復帰するまで振り分け先 Oracle 属性の の対象外とする機能 マッピング RDBMSの情報をLDAPツリーへマッピング Sales Support Tanakaエントリの情報 •既存のRDBMS上で使用しているID属性を、Oracle Virtual Directory 上の任意のディレクトリ・ツリーへマッピング uid: Tanaka givenName: Ichiro •対応しているリレーショナルデータベース Suzuki Tanaka sn: Tanaka •Oracle Database 9.2.0.7, 10.1.0.5, 10.2.0.2 mail: tanaka@example.com userpassword: {MD5}H8r3js83 •Microsoft SQL Server •IBM DB2 Copyright© 2010, Oracle Corporation. All rights reserved. 52
  • 53. OVD の主な特徴 – その3特徴3 : 柔軟な拡張性 Java APIによるプラグイン開発 •標準提供されるJava APIを利用してカスタムプラグインを開発可能Java API によるプラグイン開発 •カスタムプラグインによって、WebサービスなどJavaで接続可能なあらゆるデータソ ースのデータをディレクトリツリーへマッピング マルチプラットフォーム対応 •実行エンジンがJavaベースで開発されているため多くのプラットフォーム に対応 独自開発したプラグインはGUIツール •Windows NT 4.0 SP6, Windows 2000 SP3, Windows XP Professional, を通じてサーバーへデプロイ Windows 2003 Server •Red Hat Linux 8, 9, Red Hat Linux Enterprise Server 3.0 •Solaris 8, 9 •HP-UX 11 •AIX 5.2 ※ 管理ツールの対応プラットフォームは Windows と Linux のみとなります。 既にデプロイされている プラグインのリスト 3種類の仮想リスナー •LDAP、DSML、HTTP(DSMLゲートウェイ)の3つのインタフェースを提供 •LDAPインタフェースを持たないRDBMSなどのデータソースに対して、LDAPインタ フェースを通じたアクセス環境を提供 3種類の仮想リスナー DSML LDAP RDBMS LDAP, DSML インタフェースを 通じてデータベースにアクセス Copyright© 2010, Oracle Corporation. All rights reserved. 53
  • 54. OVD の主な特徴 – その4特徴4 : ディレクトリ統合 メタディレクトリと異なり仮想的にデータを集約 •キャッシュを持たないアーキテクチャのため、メタディレクトリのようにデータの同期シングル・サインオン製品の認証基盤 や整合性を保つといった作業を必要としない •データの管理は既存の管理システムの仕組みをそのまま利用することが可能 シングル・サインオン製品の認証基盤 •全ユーザーの認証情報の集約が容易なため、LDAPサーバーをユーザー認証基 盤として利用するWebシングルサインオン製品との相性が良い •Oracle Access Manager との連携のための設定テンプレートを提供 Web クライアント Oracle ID情報のマッピングと統合 Access Manager •複数のデータソースに分散したID情報を1つに集約 シングル・サインオン製品 •重複しているID情報を任意の属性をキーにして結合 ID, パスワードの問い合わせ •サブツリーごとに分散して格納されているID情報をフラットな形式(階層化しない状 態)に変換 Oracle •Active Directoryユーザーのスキーマ属性をinetOrgPersonオブジェクトクラスの属性 Virtual Directory に変換 集約されたユーザー情報 ID情報のマッピングと統合 階層構造をフラット形式 Active Directory のスキーマ属性を変換 に仮想的に変換 正社員データ 契約社員データの objectclass: inetOrgPerson objectclass:user のディレクトリ ディレクトリ uid: foo sAMAccountName: foo LDAPクライアント Active Directory Copyright© 2010, Oracle Corporation. All rights reserved. 54
  • 55. ユースケース:既存ADの変更なく活用• XXXグループADは変更不可なので、組織とそこに所属するユーザー、それ らの権限をUCMデータベース内の別スキーマに保管します。 ポータル• 仮想ディレクトリを用いて、既存のXXXグループADにあるユーザー情報と、 DB内の権限・グループ情報をLDAPとして一か所で参照できるようにします。 マッピング ユーザー、 ユーザー情報 グループ情報参照 XXXグループAD 仮想ディレクトリ UCMサーバー ポータル (Oracle Virtual Directory) ポータル UCMスキーマ マッピング 権限・グループ情報 ポータル UCMデータベース Copyright© 2010, Oracle Corporation. All rights reserved. 55
  • 56. ユースケース:分散したIDレポジトリの統合 【社内外共通システム】 Oracle Virtual Directory (OVD) によって 専用IDリポジトリとID伝播の仕組みを実装せずに、 1. 社員、代理店、販売店ユーザとの区別が可能 統合QA 2. セキュリティ(アクセス制御)管理が実現 3. 既存システム、運用への影響が尐ない UCMのLDAP連携機能 ポータル (標準機能) 低コストでかつ短期間での実装が可能になります。 Oracle Virtual Directory (仮想ディレクトリ) 問い合わせ 問い合わせActive 応答 応答Directory XXX本社 専用IDリポジトリと シングル・サインオン IceWall用 認証ディレクトリ ID伝播の仕組みが 認証用データベース 必要となり管理が不要 シングル・サインオンのディレクトリツリー XX-Net YYY-Net/ZZZ-Net 社員 代理店 販売店 Copyright© 2010, Oracle Corporation. All rights reserved. 56
  • 57. まとめ Copyright© 2011, Oracle. All rights reserved. 57
  • 58. まとめ• ISW(Identity Synchronization for Windows) による連携 • Directory Server と AD の同期 • AD にソフトウェアのインストール不要 • ユーザ、グループの双方向同期• OID(Oracle Internet Directory)/DIP(Directory Integration Platform)による連携 • Internet Directory と AD の同期 • AD に認証を委任 or プラグイン経由でパスワードを同期• OIM(Oracle Identity Manager)による連携 • AD や各種ディレクトリを含む統合 ID 管理を実現 • AD にプラグインを組み込むことでパスワードの吸い上げが可能• OVD (Oracle Virtual Directory)による連携 • AD の属性をフィルタリング • クライアントに応じたデータの見せ方を変えることが可能 Copyright© 2011, Oracle. All rights reserved. 58
  • 59. あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。 Web問い合わせフォーム フリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります。http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28 0120-155-096 ※フォームの入力には、Oracle Direct Seminar申込時と同じ ※月曜~金曜 9:00~12:00、13:00~18:00 ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ (祝日および年末年始除く) れている連絡先が最新のものになっているか、ご確認下さい。 Copyright© 2011, Oracle. All rights reserved. 59
  • 60. Copyright© 2011, Oracle. All rights reserved.
  • 61. Copyright© 2011, Oracle. All rights reserved.61